Cloudreferenties zijn massaal gelekt in populaire apps

App Store en Google Play Store bieden een groot aantal applicaties. Ze organiseren regelmatig een extra geschenk voor cybercriminelen: gecodeerde inloggegevens voor AWS en Azure Blob Storage.

De kwestie werd aan de orde gesteld door twee onderzoekers van Broadcom’s Symantec Security Technology & Response, Yuanjing Guo en Tommy Dong. “Iedereen met toegang tot de broncode of het binaire bestand van de applicatie kan deze inloggegevens verkrijgen en deze misbruiken om gegevens te manipuleren of te exfiltreren, wat mogelijk kan leiden tot ernstige inbreuken op de beveiliging.”

De gevolgen kunnen ernstig zijn, zoals het verwijderen of manipuleren van backend-services of het lekken van bedrijfseigen gegevens. Bovendien kunnen aanvallers de inloggegevens misbruiken om gebruikersgegevens te stelen, omdat deze zich ook in AWS of Azure Blob Storage kunnen bevinden.

AWS- en Azure-lekken

Losse referenties zijn het resultaat van vertraagd codeerwerk, zoals de voorbeelden laten zien. Een Android-app met 5 miljoen downloads uploadt immers AWS-inloggegevens voor een Amazon S3-bucket die in de productie wordt gebruikt. Met zo min mogelijk sleutelwerk laadt de betreffende applicatie de testreferenties of gegevens die bedoeld zijn om de applicatie te testen.

Elders maken app-ontwikkelaars het nog gemakkelijker voor slechte acteurs. Een iOS-app met 3,9 miljoen recensies en een hoge plaatsing in zijn eigen categorie bevat inloggegevens in platte tekst, inclusief een wachtwoord en een geheime sleutel. Andere applicaties maken ook contact met AWS via gecodeerde inloggegevens, een praktijk die Symantec-onderzoekers omschrijven als een ‘ernstig risico’.

De AWS-inbreuk is niet uniek; Azure Blob Storage is ook zichtbaar. Nogmaals, dit zijn gegevens die zijn gecodeerd in apps met miljoenen of honderdduizenden downloads. Soms is het een lek in het binaire bestand zelf, waardoor het detecteren ervan kinderspel is.

Gemak boven veiligheid?

Deze trend laat twee dingen zien. Allereerst is de trend waar Symantec-onderzoekers op wijzen duidelijk. Het is blijkbaar een gewoonte onder veel app-ontwikkelaars om inloggegevens op deze manier te implementeren, alsof het een openbare API-sleutel is.

Tegelijkertijd ontbreekt standaardisatie omdat de methodiek aanzienlijk verschilt. Soms verwijst dit naar verbindingsreeksen die inloggegevens bevatten, maar vaak zijn dit gegevens in platte tekst binnen het binaire bestand die eigenlijk achter slot en grendel moeten worden bewaard.

Symantec-onderzoekers pleiten voor een verschuiving naar veiligere encryptietechnieken. Omgevingsvariabelen worden bijvoorbeeld tijdens runtime geladen en lekken geen gevoelige inloggegevens in de code zelf. Ontwikkelaars moeten ook gewoon gebruik maken van de hulp die al wordt geboden door AWS (via Secrets Manager) of Microsoft (via Azure Key Vault). Bovendien ontbreekt de encryptie nu waar deze zou moeten zijn.

In bredere zin is er duidelijk een gebrek aan geautomatiseerde codebeoordelingen/audits en beveiligingsscans. Daarom raadt Symantec aan dat ontwikkelingsteams deze technieken gebruiken om eventuele problemen vroegtijdig op te sporen. Daarnaast wordt het gebruik van beveiligingsapplicaties aanbevolen en zoals verwacht beveelt Symantec Symantec Endpoint Protection aan.

Lees ook: 10 miljard wachtwoorden gedumpt op hackerforum BreachForums